해커가 어떤 공격을 해오던 간에 직원들이 데 대처할 준비가 돼 있나? 그렇다면, 이 슬라이드쇼에서 소개하는 테스트 중 하나를 한 번 시험해 보길 바란다.
우리 모두가 잘 알고 침투 테스트를 위한 표준화된 방법들은 많지만 해커들은 더 이상 공격에 대한 전통적인 방법을 고집 하지 않는다. 이제는 고정관념에서 벗어나서 사고해야 할 때다. 해커들의 공격에 대해 얼마나 잘 대응하고 있는지 알아볼 을 몇 가지 기발한 방법을 소개한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
뉴스 관련 이메일 테스트
회사가 최근 새로운 제휴, 새로운 보험사, 새로운 고용, 합병 또는 다른 빅 뉴스에 대해 공식적으로 발표한 적이 있다면 누군가가 피싱 이메일이나 보이스 피싱으로 이 뉴스를 참조해 사기칠 수 있다. 실제 뉴스를 참조하면 사기 행각처럼 보이지 않을 것이다.
팁 : 꼭 대기업 뉴스일 필요는 없다. 지역 신문이나 직원 개인의 소셜 미디어 게시물에서도 정보를 얻을 수 있다.
출장중인 임원 테스트
고위 간부에 속하는 것처럼 보이는 가짜 이메일 계정을 만들어라. 그런 다음 그 임원이 회의에 참석한 것으로 알고 있을 때, 프레젠테이션이나 고객 회의를 위해 지금 당장 그 임원이 필요로 하는 민감한 문서의 사본을 급하게 요구하는 이메일을 부하 직원에게 보내보라.
팁 : 가짜 이메일 계정을 만들 때 진짜처럼 보이게 하려면 그 임원의 실제 사진을 넣는 것을 잊지 말 것
가짜 설문조사 테스트
사내 복지에 대해 얼마나 만족하는지, 또는 회사가 어디로 이전하면 좋을지 같은 설문조사에 참여하라는 메일을 직원들에게 발송해 본다.
팁 : 응답자 선착순 10명에게 아이패드나 아이튠즈 기프트 카드를 주겠다고 약속해 볼 것
가짜 와이파이 테스트
직원들이 커피 마시러 사무실 밖으로 나가는 것을 종종 발견하나? 그렇다면 사무실 가까이에서 무선 인터넷 접속 지점을 설정하고 이러한 무선 통신을 공격하는 누군가에 대해 얼마나 잘 보호하는지 확인하라.
메모리 카드 테스트
민감한 위치 주변에 바이러스에 감염된 메모리 카드를 떨어뜨려 보라. 호기심 많은 직원은 그것을 집어서 자신의 PC에 한 번 꼽아 볼 것이다.
팁 : 직원이 너무 영리해 낯선 메모리 카드를 줍지 않는다면, 신뢰할 수 있는 업체나 고위 간부가 보낸 척 하면서 개인적인 메모와 함께 직접 우편으로 직원들에게 메모리 카드를 보내보라.
컴퓨터 수리 테스트
미리 전화해 외부 업체가 오래된 드라이브, 테이프, 컴퓨터를 안전하게 재활용하기 위해 이들을 수거하러 온다고 알려주자. 방문 일정을 알려주고 이 업체 사람들이 진짜인지를 확인할 방법도 메일을 보내 알려줘야 한다.
팁 : 가짜 기술자는 특정 컴퓨터 메모리 카드 업그레이드하거나 새로운 VPN 연결을 설치하고 바이러스 백신 소프트웨어를 업그레이드 하는 척 하기 위해서도 방문할 수 있다. 아니면 어느 임원이 너무 느린 컴퓨터에 대한 불만스러워하기 때문일 수도 있다. 그래서 누군가가 레지스트리를 정리하고 속도를 높이고자 방문할 것
100 달러짜리 지폐 테스트
주머니에 100 달러를 넣고 사원증 없이 제한 구역을 어슬렁거려 보자. 사원증이 어디 있는지를 묻는 첫 번째 직원이 100달러를 갖는 것이다.
팁 : 낯선 사람에게 ‘누구냐’고 묻는 게 무례하게 여겨질 수 있다. 이에 대한 긍정적인 해석을 집어넣는다면, 경계를 늦추지 않도록 직원들을 교육시켜 어색함을 극복하는데 도움이 된다.
스캐너 해킹
회사의 모든 컴퓨터를 잠금 상태로 만들어 놓고 직원들이 경계를 늦추지 않도록 할 것이다. 하지만 다른 모든 네트워크에 연결된 기기에 대해서는 어떤가? 스캐너에서 문서의 사본을 발견할 수 있는지 보라. 보안 카메라, 온도 조절 장치, 심지어 자동 판매기는 네트워크 접속도 될 수 있고 외부로 연결될 수도 있다. 최근 유통기업 타깃의 정보 유출 사건에서, 해커들은 타사 시스템 모니터링 가열 및 냉각 장비 등 타사 시스템을 통해 침입한 것으로 알려졌다.
장기간에 걸친 사기 행각
수 개월 동안 이메일, 전화, 또는 엘리베이터 만남 등 잦은 상호 작용으로 주요 직원과의 관계를 구축하라. 그런 다음 피싱이나 다른 공격 시 보안 기능을 제공하는데 익숙한 제품들을 사용하라. 해커는 해당 직원이 가치 있다고 여겨지면 시간을 투자할 것이다.
속이기
당신이 침투 테스트를 실행하고 있고 회사 전체에 피싱 이메일을 보낼 것이라고 회사 관리자에게 말하라. 당신이 사용하려는 전술을 설명하고, 당신이 직원을 유혹하기 위해 설정한 가짜 사이트를 임원에게 보낸다. 이 사이트가 진짜같은 지에 대해 그들에게 의견을 부탁해 보라.